Gobierno de TI a través de COBIT 4.1 y cambios esperados en COBIT 5.0

Eduardo Martínez Estébanes y Juan Carlos García Cano

Introducción

• La práctica común de las empresas en el mundo es no considerar importante a las áreas de TI.

• La influencia de las TI se ha incrementado de manera reciente, provocando que estas comiencen a ser parte fundamental en la operación y desarrollo de las empresas.

• Debido a esto la administración efectiva de la información y de las tecnologías relacionadas, se han vuelto un factor crítico para la supervivencia y éxito en las organizaciones.

Introducción

• Factores que influyen:

– Dependencia de la información y sistemas

– Incremento de la vulnerabilidad y riesgos

– Costos de las inversiones actuales en TI

– Potencial de TI para logro de objetivos

Gobierno de TI

• Gobierno Corporativo: conjunto de responsabilidades y prácticas ejecutadas por la junta directiva y la administración con el fin de proveer dirección estratégica.

• ¿Cómo proveer una correcta dirección a la organización?

Garantizando que los objetivos sean alcanzados

Estableciendo que los riesgos son administrados apropiadamente y;

Verificando que los recursos de la empresa son usados de manera responsable

Gobierno de TI

• Gobierno de TI es una parte integral del Gobierno corporativo y consta del liderazgo, estructuras organizacionales y procesos que garanticen que las TI de la empresa sustenten y extiendan las estrategias y objetivos organizacionales.

• El Gobierno de TI

Alineará las estrategia de TI con la estrategia de la organización,

Disminuirá del apetito del riesgo,

Proporcionara estructuras organizacionales que faciliten la implementación de estrategias y metas

Creará relaciones constructivas y comunicación efectiva entre el negocio y TI además de con los socios externos;

Medirá el desempeño de TI

Gobierno de TI

• Implementación: La implementación de un marco de Gobierno de TI se lleva acabo tomando en cuenta las diferentes condiciones y circunstancias en una organización, estas principalmente determinadas por factores como son:

Lograr una interacción del gobierno de Ti con la ética y cultura de la organización

Apegarse a leyes y regulaciones vigentes (sean internas o externas)

Considerar la misión, visión y valores de la organización

Asignar actividades comprendiendo los roles y responsabilidades.

Gobierno de TI

• Enfoque de Gobierno de TI: Ser una solución operativa, que trate con los retos y trampas presentadas por TI, mejore el desempeño y posibilite la ventaja competitiva como prevenir problemas.

• Gobierno de TI una responsabilidad compartida entre el negocio (cliente) y el proveedor de servicios de TI, con el pleno compromiso y la dirección de la junta.

• Alinear el Gobierno de TI con un amplio Gobierno Corporativo, incluyendo a la junta y administración ejecutiva

• Proporcionar liderazgo y estructuras organizacionales necesarias recalcando la buena administración y control de los procesos

Marco de referencia - COBIT

• Mapa de Implementación

Gobierno de TI

• Áreas de Gobierno de TI :Las áreas de enfoque del Gobierno de TI son:

Alineación Estratégica

Entrega de Valor

Administración de Recursos

Administración de Riesgos

Medición del desempeño

COBIT

• Objectives for Information and related Technology (Objetivos de Control para la información y tecnología relacionada)

• Creado por ISACA Information Systems Audit and Control Association (Asociación de Control y Auditoria de Sistemas de Información)

• Es un conjunto de herramientas de soporte que permite a la gerencia de las organizaciones el cerrar la brecha entre los requerimientos de control, problemas técnicos y los riesgos del negocio.

• Este marco provee buenas prácticas y presenta actividades para el Gobierno de TI que en una estructura manejable y lógica.

COBIT

• Misión de COBIT es el investigar, desarrollar, publicar y promover un conjunto de objetivos de control generalmente aceptados, autorizados, actualizados por ISACA para ser utilizadas en el día a día por la gerencia del negocio, los profesionales de IT y de la seguridad. Define también procesos, metas y métricas para el control.

Versiones COBIT

• 1ra Edición (1996) incluía la colección y análisis de fuentes internacionales reconocidas

• Versión 2(1998), principal cambio fue la adición de las guías de gestión.

• Versión 3(2003),la versión en línea ya se encontraba disponible en el sitio de ISACA.

• (2003), COBIT fue revisado y mejorado para soportar el incremento del control gerencial, introducir el manejo del desempeño y mayor desarrollo del Gobierno de TI.

• Version 4 (2005), la cuarta edición fue publicada.

• Versión 4.1(2007), se liberó la versión 4.1 que es la que actualmente se maneja.

• La versión 5,está planeada para ser liberada en el año 2012, esta edición consolidará e integrará los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT

• Los recursos de TI son manejados procesos para alcanzar las metas de TI que responden a los requerimientos del negocio.

Marco de referencia - COBIT

Marco de referencia – COBIT 4.1

• Está conformado por un conjunto de 34 Objetivos de Control de alto nivel, todos diseñados para cada uno de los Procesos de TI, los cuales están agrupados en cuatro grandes grupos mejor conocidos como dominios, estos se equiparán a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear:

Marco de referencia – COBIT 4.1

Planificación y Organización, proporciona la dirección para la entrega de soluciones y la entrega de servicios.

Adquisición e Implementación, proporciona las soluciones y las desarrolla para

convertirlas en servicios. Entrega de servicios, recibir soluciones y hacerlas utilizables para los usuarios

finales. Soporte y Monitorización, monitorear todos los procesos para el asegurar que

se sigue con la dirección establecida.

Marco de referencia - COBIT

• Un concepto clave de COBIT, es la determinación y la mejora sistemática de la madurez del proceso, el cual tiene 6 niveles (0 al 5) para medir el nivel de madurez de los procesos de TI

0 Inexistente

1 Inicial / adhoc

2 Repetible pero

3 Definido

4 Gestionable y medible

5 Optimizado

Procesos - COBIT

• Los 34 procesos con los que cuenta COBIT se encuentran divididos en los cuatro dominios de la siguiente manera

Procesos - COBIT

Marco de referencia - COBIT

• Objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de TI.

• Estos controles son sentencias de acciones de gerencia que deben de aumentar el valor o reducir el riesgo en el negocio, generalmente consisten en políticas, procedimientos, prácticas y estructuras organizacionales, las cuales proporcionan un aseguramiento razonable de que los objetivos del negocio se verán alcanzados.

Procesos - COBIT

El enfoque de COBIT 5 será el gobierno y la administración de la información corporativa

Procesos - COBIT • El foco de COBIT 5 es en procesos y existen 36 procesos que están separados

como áreas de Gobierno y Administración.

• Gobierno Corporativo de TI

– Evaluar, Dirigir y Monitorear (EDM) – 5 procesos

• Administración de TI Corporativa – Alinear, planear, Organizar ( PO) – 12 procesos

– Construcción, Adquisición e implementación (BAI) – 8 procesos

– Entrega, Servicio y Soporte (DSS) – 8 procesos

– Monitoreo, Evaluación e Informes (MEI) – 3 procesos

COBIT 5

• Los volúmenes de COBIT 5 son tres

– Volumen 1: El Marco de Referencia ~ 60pp – principios y modelos del gobierno corporativo de TI

– Volumen 2: Guía de referencia de Procesos ~ 200pp – Guia detallada de referencia de los procesos

– Volumen 3: Implementando y mejorar continuamente el Gobierno corporativo de TI

Cambios – COBIT 5

• Nuevo modelo de madurez

Modelo de madurez definido por ISO en la norma ISO/IEC 15504 más conocida como SPICE (Software Process Improvement Capability Determination.

• Estructura de procesos

La estructura de procesos es similar a la anterior. Tras los cambios, se dispone de un total de 36 procesos (34 en la versión 4.1).

Conclusiones

• El Gobierno de TI fue diseñado para todas aquellas organizaciones que deseen aprovechar las tecnologías de la información como apoyo para el logro de los objetivos corporativos.

• COBIT es el marco de referencia que ayuda a sustentar el Gobierno de TI, estableciendo un conjunto de actividades y controles para lograr que los procesos de TI se integren a las estrategias de la organización para el logro de objetivos del negocio.

• No obstante, los cambios destacados en el borrador al que se tiene acceso no se introducen grandes cambios respecto a COBIT 4.1. Esto nos lleva a pensar que la nueva versión no será muy distinta de la actual y que por lo tanto resultará sencillo adaptar los modelos basados en COBIT 4.1 a COBIT 5.